向lan客户开放ping ping

Question

在这种情况下我需要帮助：

我的openvpn服务器上有一个tap0接口，ip 10.22.8.1

我的eth0接口是192.168.1.155

路由表：

192.168.1.0 - 0.0.0.0 - 255.255.255.0 - eth0

10.22.8.0-10.22.8.1-255.255.255.0- tap0

0.0.0.0 - 192.168.1.10 - 0.0.0.0 - eth0

使用以下规则，

可以从局域网切换到vpn客户端：

-v -t nat -A PREROUTING -i eth0 -d 192.168.10.0/24 -j NETMAP -to 10.22.8.0/24

表-t nat -A POSTROUTING -o tap0 -j伪装

我在局域网客户机中有一个路由192.168.10.0到我的vpn服务器。Tcpdump显示数据包从eth0重定向到tap0，并且netmap工作。

但是当我尝试相反的时候，我不能从vpn客户端切换到我的lan。

-v -t nat -A PREROUTING -i tap0 -d 10.22.8.0/24 -j NETMAP -to 192.168.1.0/24

表-t nat -A POSTROUTING -o eth0 -j伪装

tcpdump显示数据包到达tap0，但不转到eth0。就像netmap规则不起作用一样。

你能帮我一下吗？我做错了什么？

Answer 1

你做错了。

第一层-使用第三层连接，而不是第二层vpn。节省交通。

第二种方式是使用代理arp和将ip地址从本地子网转移到vpn客户端，这样它们就会以本地的形式出现。

第三，使用路由并在192.168.1.0/网络的所有系统上设置到10.22.8/24子网中的客户端的路由，或者只使用vpn系统作为默认网关，以避免路由问题.

使用路由：

• 在linux路由器上启用proxy_arp : echo 1>/proc/sys/net/ipv4 4/conf/proxy_arp
• 如果没有自动发生，则将子网的路由添加到eth0
• 将本地子网的子网路由从openvpn添加到tun设备。假设我们将为vpn上的主机使用最后16个IP地址(192.168.1.240 - 192.168.1.255)，这意味着我们有一个28位子网192.168.1.240/28。创建tun设备静态(openvpn --mktun)，然后将vpn子网的路由添加到设备ip路由中添加192.168.1.240/28 dev tun0。

之后，在启用ip转发和代理arp之后，linux系统将把来自本地客户端的所有请求“路由”到vpn端的客户端，反之亦然。

并且您有一个第三层vpn (更快，更少的流量)，具有第二层的连接性和对所有系统的完全透明访问。

过滤和其他一切都可以通过iptable来完成。

KR，

格罗米特

Answer 2

您好，非常感谢您的帮助。最后，我决定遵循第三点。

我的公司局域网中的客户端配置了一个双ip。

正常192.168.1.X和vpn 10.22.8.X

vpn客户端在两个网络中都有双ip：

接口

192.168.1.31/24 brd 192.168.1.255范围全球eth1

inet 10.22.8.243/24范围全球eth1

路由表

10.22.8.240 - 10.22.8.243 -255.255.240- UG - eth1

10.22.8.0 -*- 255.255.255.0 -U- eth1

服务器有可用的proxy_arp、arp_accept和ip_forward。到目前为止，一切都很顺利。

我非常感谢你的帮助，格罗米特。